Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling

Storlek: px
Starta visningen från sidan:

Download "Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling"

Transkript

1 Dnr /2011 1(2) Internrevisionen Angelica Davidsson Nirvning Internrevisionsrapport Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling Internrevisionen har i enlighet med revisionsplanen för 2011 granskat intern styrning och kontroll i processen för IT-utveckling. Syftet med revisionen är att granska och göra en nulägesanalys av styrning och intern kontroll i hanteringen av IT- och projektutveckling för att identifiera förbättringsområden. Granskningen har utgått från följande frågeställningar: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av IT-utvecklingen inom myndigheten (effektivitet)? 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda IT-utvecklingsprojekt (effektivitet, regelefterlevnad)? 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? I enlighet med revisionsplanen har konsultstöd med ITrevisionskunskap anlitats. En IT-revisor från Transcendent group har varit ansvarig revisor och projektledare för uppdraget. Internrevisionen har deltagit som medverkande revisor i projektet och har medverkat vid samtliga intervjuer utom en och har i övrigt hanterat alla kontakter mellan Transcendent group och Socialstyrelsen. Rapporten från Transcencent group utgör internrevisionens revisionsrapport och presenteras i bilaga 1. De bedömningar och rekommendationer som lämnas i rapporten utgör internrevisionens bedömningar och rekommendationer. SOCIALSTYRELSEN Stockholm Telefon Fax Org nr Plusgiro

2 SOCIALSTYRELSEN Dnr /2011 2(2) Beslut i detta ärende har fattats av internrevisionschef Angelica Davidsson Nirving Angelica Davidsson Nirving Bilaga: Rapport IT-utveckling: Styrning och intern kontroll inom ITutvecklings- och projektverksamheten

3 IT-utveckling Socialstyrelsen Styrning och intern kontroll inom IT-utvecklings- och projektverksamheten Internrevision

4 Sammanfattning På uppdrag av internrevisionen vid Socialstyrelsen har Transcendent Group utvärderat myndighetens IT-utveckling. Syftet med revisionen var att granska styrning och intern kontroll i processen för IT-utveckling och projektverksamhet i syfte att identifiera förbättringsområden. Granskningen har utgått från tre frågeställningar, vilka nedan sammanfattas: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av ITutvecklingen inom myndigheten (effektivitet)? Granskningen visar på stora brister avseende styrningen av myndighetens ITutvecklingsaktiviteter. Det finns en otydlighet och osäkerhet kring såväl roller och ansvar som processer avseende utveckling av Socialstyrelsens IT-system. Det finns inte en tydlig process för prioritering och resursplanering av utvecklingsprojekt och det finns inte någon övergripande samordning, koordinering och uppföljning av pågående och planerade utvecklingsprojekt. Den sammanfattande bedömningen är att området är mycket otillfredsställande. 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda ITutvecklingsprojekt (effektivitet, regelefterlevnad)? Granskningen visar att styrningen och hanteringen av enskilda projekt saknar en enhetlig struktur och att Socialstyrelsens projektstyrningsmodell ej är ändamålsenlig och inte efterlevs vid IT-utvecklingsprojekt. Det finns väsentliga brister inom projektuppföljningen och en otydlighet kring kostnadsredovisning. I samband med projektavslut saknas riktlinjer för överlämning till drift och förvaltning. Den sammanfattande bedömningen är att området är otillfredsställande. 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? Det har vid granskningen framkommit att det inte finns en struktur och process för såväl kravställning som mottagande av förändringsbehov kopplat till IT-stödet. Ansvaret avseende systemförvaltning är ofta otydligt vilket särskilt gäller förvaltning av de register och databaser som främst används av avdelningen Statistik och utvärdering och hanteras i SAS-system. Inom systemutvecklingsarbetet finns inte en enhetlig process med riktlinjer kring kravhantering, systemdokumentation, testning och driftsättning. Den sammanfattande bedömningen av området är otillfredsställande. För att åtgärda de brister och risker som identifierats krävs att tydliga processer tas fram, fastställs och kommuniceras till samtliga berörda parter. Vår bedömning är att dessa nya processer och arbetssätt ej kan åstadkommas med befintliga roller och resurser. De roller som vi rekommenderar att införa är följande: En övergripande IT-strateg bör rekryteras som ansvarar för Socialstyrelsens användning av IT och dess IT strategi samt representerar beställaren av IT-stöd (verksamheten) gentemot leverantören (IT-enheten eller annan leverantör). Denna funktions skulle kunna placeras inom GD-staben eller den Administrativa avdelningen. IT-strategen bör vidare ansvara för sammanställning och uppföljning av Socialstyrelsens samtliga pågående och planerade IT-utvecklingsprojekt och medverka i styrgrupp (eller motsvarande) för samtliga myndighetsgemensamma eller mer omfattande IT-utvecklingsprojekt Socialstyrelsen 2 (21)

5 En eller ett fåtal utpekade IT-samordnare/IT-beställare utses per avdelning med uppgift att ansvara för koordinering av förändringsbehov i IT-stödet inom avdelningen och agera språkrör gentemot IT-enheten och förmedla avdelningens förändringsbehov och IT-resursbehov till en dedikerad kundansvarig inom IT-enheten En eller flera utpekade kundansvariga rekryteras/utses inom IT-enheten med ansvar för mottagning av önskemål om resurser/medverkan från IT-enheten i IT-utvecklingsprojekt liksom löpande förvaltnings- och utvecklingsärenden där tydliga kommunikationskanaler inte redan finns etablerade genom systemförvaltningsmodellen Magnus Thyllman Certifierad internrevisor, CIA Certifierad IT-revisor, CISA Socialstyrelsen 3 (21)

6 Innehållsförteckning Sammanfattning... 2 Innehållsförteckning Inledning Bakgrund Syfte och frågeställningar Avgränsningar Utfört arbete och metodik Ramverk och bedömningskriterier Styrning av IT-utvecklingen inom myndigheten Övergripande styrning och organisation Budgetering, resurstilldelning och prioritering av projekt Koordinering, samordning och uppföljning Styrning och hantering av enskilda IT-utvecklingsprojekt Projektmodell Projektförutsättningar Löpande projektuppföljning Projektavslut Hantering av löpande systemförvaltning och IT-utvecklingsaktiviteter Systemförvaltning Systemutveckling Förbättringsområden, bedömningar och rekommendationer Styrning av IT-utveckling inom myndigheten Otydliga roller och processer för styrning av IT-utveckling Otydlig beslutsprocess avseende IT-utvecklingsprojekt Avsaknad av IT-strategi ökar osäkerheten kring IT-utvecklingsbeslut Styrning och hantering av enskilda utvecklingsprojekt Socialstyrelsens projektmodell är bristfällig Bristfällig projektuppföljning Otydliga riktlinjer för kostnadsredovisning Bristande hantering av projektavslut IT-enheten saknar resurser med tillräcklig erfarenhet från projektarbete Hantering av löpande systemförvaltning och IT-utvecklingsaktiviteter Systemförvaltningsmodellen saknar rollbeskrivningar Avsaknad av struktur och process för hantering av förändringsbehov Otydligt ansvar för förvaltning av SAS-systemen Process för systemutveckling saknas Socialstyrelsen 4 (21)

7 1 Inledning På uppdrag av internrevisionen vid Socialstyrelsen har Transcendent Group utvärderat styrning och intern kontroll inom IT-utvecklings- och projektverksamheten. 1.1 Bakgrund Socialstyrelsen använder sig i huvudsak av standardsystem och IT-utvecklingsarbete bedrivs i begränsad omfattning och till största delen med hjälp av externa konsulter. Enligt 4 kap. 3a i arbetsordning för Socialstyrelsen (dnr /2010) svarar den Administrativa avdelningen för utvecklingsprojekt, infrastruktur och service avseende IT. IT-enheten, som ingår i den Administrativa avdelningen, har dock inte ett tydligt ansvar för övergripande samordning av IT-utveckling såsom framtagande av krav och metodik för ITutvecklingsprojekt. Enheten har totalt 24 anställda (varav två är inhyrda konsulter) som arbetar med servicedesk, infrastruktur och förvaltning. IT-enheten erbjuder inte systemutveckling som tjänst. Inom IT-enheten pågår ett förändrings- och utvecklingsarbete, bland annat har en ny systemförvaltningsmodell utarbetats och beslutats av GD och en ny organisation för ITenheten införs den 1 april Det finns inte någon IT-strategi, IT-utvecklingsportfölj eller något beredande organ med uppgift att koordinera och samordna Socialstyrelsens pågående och framtida ITutvecklingsprojekt. IT-utvecklingsarbete bedrivs inom flera av avdelningarna. Sakavdelningarna upplever idag att de inte får det stöd de behöver avseende IT-utveckling från IT-enheten. Detta kan i sin tur leda till att verksamheten inte erhåller ändamålsenliga systemstöd och därmed inte har möjlighet att genomföra planerad verksamhetsutveckling. Det har inom Socialstyrelsen förekommit att IT-projekt som bedrivits inte kunnat leverera efterfrågade resultat. IT-projektet Händelsedatabas Klara och det inledande arbetet 2010 inför införandet av ett nytt intranät är exempel på IT-utvecklingsaktiviteter som inte levererat avsedda resultat. 1.2 Syfte och frågeställningar Syftet med revisionen är att granska och göra en nulägesanalys av styrning och intern kontroll i hanteringen av IT- och projektutveckling för att identifiera förbättringsområden. Granskningen har utgått från följande frågeställningar: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av IT-utvecklingen inom myndigheten (effektivitet)? 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda ITutvecklingsprojekt (effektivitet, regelefterlevnad)? 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? Socialstyrelsen 5 (21)

8 1.3 Avgränsningar Granskningen omfattar inte den generella verksamhetsutvecklingsprocessen inom myndigheten utan avgränsar sig till styrning av sådan verksamhetsutveckling där IT-utveckling ingår. Med IT-utveckling avses i rapporten aktiviteter kopplade till planering, styrning, genomförande, övervakning samt uppföljning av förändringar i myndighetens IT-stöd (såväl applikationer som IT-infrastruktur). 1.4 Utfört arbete och metodik Transcendent Group har bistått internrevisionen med IT-revisionskunskap i detta uppdrag och en konsult har varit ansvarig revisor och projektledare för uppdraget. Internrevisionen på Socialstyrelsen har medverkat i uppdraget i rollen som medverkande revisor. Granskningen utfördes genom intervjuer med ansvariga och inläsning av styrande dokument och annan dokumentation. Chefer och personal inom IT-enheten har intervjuats liksom chefer i verksamheten och då särskilt från Avdelningen för statistik och utvärdering då denna avdelning är mycket IT-beroende. För att verifiera iakttagelserna har två IT-utvecklingsprojekt granskats specifikt och projektledare intervjuats. Socialstyrelsen 6 (21)

9 2 Ramverk och bedömningskriterier Internrevisionen har utgått från ramverket COBIT 1 vid sin granskning av styrning och intern kontroll inom IT-utveckling. COBIT är ett ramverk för såväl styrning som revision av kontroller som påverkar verksamhetens användning av IT. Granskningen har baserats på främst följande processer inom COBIT: Plan and Organize PO10 Manage Projects (Styrning och hantering av projekt) Acquire and Implement AI2 Acquire and Maintain Application Software (Anskaffning och underhåll av applikationer) AI3 Acquire and Maintain Technology Infrastructure (Anskaffning och underhåll av IT-infrastruktur) AI6 Manage Changes (Förändringshantering) AI7 Install and Accredit Solutions and Changes (Driftsättning och överlämning till förvaltning) Internrevisionen har i respektive revisionsbedömning bedömt risken med iakttagelsen. Har risken bedömts vara kritisk är revisionsbedömningen mycket otillfredsställande (röd). Anses risken vara mycket väsentlig är revisionsbedömningen otillfredsställande (orange). Anses risken som väsentlig är revisionsbedömningen delvis otillfredsställande (gul). Är risken mindre väsentlig är revisionsbedömningen tillfredsställande (grön). Varje revisionsfråga besvaras i var sitt kapitel (kapitel 3-5) och följs av en beskrivning av identifierade förbättringsområden, bedömningar och rekommendationer i kapitel 6. 1 COBIT (Control OBjectives for Information and related Technology) Socialstyrelsen 7 (21)

10 3 Styrning av IT-utvecklingen inom myndigheten 3.1 Övergripande styrning och organisation Granskningen visar att det finns en otydlighet och osäkerhet kring roller och ansvar avseende utveckling av Socialstyrelsens IT-system. Det finns inte en tydlig struktur för hur såväl stora som små förändringar i IT-miljön ska hanteras och hur detta hänger ihop med den ordinarie planeringsprocessen och arbetet med verksamhetsplaner. Beslut avseende större IT-investeringar och utvecklingsprojekt fattas av GD efter diskussion i ledningsgruppen. Det finns dock inte fastställda rutiner och mallar för att förse ledningsgruppen med ändamålsenliga och väl underbyggda beslutsunderlag. Avsaknaden av en formellt beslutad IT-strategi ökar osäkerheten kring strategiska investeringar, då en IT-strategi brukar ange och fastställa inriktningen för en organisations användning av IT-stöd. Det finns på grund av detta inte förutsättningar för att ledningsgruppen ska få en gemensam och överblickbar bild av handlingsalternativ, kostnader, konsekvenser och strategiska prioriteringar avseende IT-utveckling. I avdelningarnas verksamhetsplaner ska utvecklingsbehov finnas med. Det har dock framkommit att så inte alltid är fallet. Det finns även en osäkerhet kring hur processen ser ut för att omvandla utvecklingsplaner till utvecklingsaktiviteter och hur IT-enheten är och bör vara delaktiga i detta arbete. I de fall avdelningarna behöver hjälp av IT-enheten i enskilda utvecklingsärenden saknas ofta tillräckliga underlag och dokumenterade krav. Detta kan dock, åtminstone delvis, förklaras med att det inte finns mallar och stöd för vilken information de behöver ta fram. Det kan konstateras att verksamheten saknar tillräcklig beställarkompetens i IT-utvecklingsfrågor. Vid intervjuer har flera påtalat att de upplever att de inte får återkoppling på information och önskemål som lämnas till IT-enheten. Detta kan delvis bero på att det inom IT-enheten saknas tillräckliga resurser med kompetens och erfarenhet att omvandla verksamhetsbehov till IT-utvecklingsaktiviteter. IT-enheten har, i enlighet med GD:s beslut att införa Sharepoint plattformen på Socialstyrelsen 2, slagit fast att de ska fokusera på Microsoft-produkter och Sharepoint som primär plattform. Tidigare var plattformsval mindre styrt och IT-enheten arbetade mer reaktivt utifrån verksamhetens önskemål. Inriktningen mot Sharepointlösningar finns dock inte dokumenterad i någon plattformsstrategi 3 eller liknande. Register och databaser som används av avdelningen Statistik och utvärdering hanteras i SASsystemet 4, detta system används inte av den övriga myndigheten. De register och databaser som hanteras i SAS-system har enligt uppgift haft svårt att få det stöd som avdelningen Statistik och utvärdering anser sig behöva från IT-enheten då de främst fokuserar på Microsoft-produkter. 2 Beslut om budget, inriktning och gemensam styrgrupp för projekten "MOSS-plattform" och "Ny webbplats" föredragen i Socialstyrelsens ledningsgrupp, dnr En plattformsstrategi är ett beslut där det fastställs vilken systemmiljö såsom vilket operativ system och vilka databaser som ska användas i en verksamhet 4 Statistical Analysis System är integrerade systemlösningar som tillhandahålls av SAS Institutet Socialstyrelsen 8 (21)

11 3.2 Budgetering, resurstilldelning och prioritering av projekt Det finns inte någon process för prioritering av utvecklingsprojekt och resursplanering kopplat till denna. Större projekt beslutas av GD eller av avdelningschef idag, men det finns ingen central styrning av när projekten ska genomföras och hur resurser ska prioriteras mellan olika projekt. Då det i intervjuer framkommit att personalresurser på IT-enheten är en trång sektor med stort nyckelpersonsberoende, är en tydlig process för resurstilldelning en nödvändighet. Processen för verksamhetsplanering förefaller inte vara helt synkroniserad med beslut kring utvecklingsprojekt som påverkar IT-miljön, vilket gör att avdelningarna ibland sätter igång utvecklingsprojekt utan att dessa finns i verksamhetsplanerna. De intervjuade anser att mindre projekt med IT-påverkan som drivs inom avdelningarna fungerar bra i de flesta fall, men att de ofta är beroende av informella och inarbetade kontakter på IT-enheten. Det finns inte några tydliga riktlinjer kring hantering av budget i projekten. Samtliga projekt bedöms ha uppsatta budgetar i projektplanerna. Det finns dock en osäkerhet kring vilka kostnader som ska ingå i budgeten (och vad som avser investering respektive kostnad), hur detta ska följas upp löpande och vilket budgetansvar projektledaren har. 3.3 Koordinering, samordning och uppföljning Granskningen visar att det inte finns någon projektportfölj eller liknande sammanställning av pågående och planerade IT-utvecklingsprojekt utöver den investeringsplan som årligen beslutas av GD. Avsaknaden av en övergripande bild av vilka projekt och utvecklingsaktiviteter som pågår minskar möjligheterna för styrning, koordinering och samordning av dessa. Det har hänt att verksamheten drivit utvecklingsprojekt med stor IT-påverkan utan att ITenheten varit informerad eller involverad, vilket kan medföra att system tas fram som ITenheten saknar resurser för att förvalta eller inte passar i Socialstyrelsens plattform. Det finns även exempel där flera avdelningar driver liknande förändringsprojekt på egen hand utan att samordna dessa och dra fördelar av varandras erfarenheter och kompetens. Några av de intervjuade har indikerat att det pågår ett tjugotal projekt, men det förefaller inte finnas någon klar bild över detta. IT-enheten har inte heller överblick eller sammanställning över alla pågående projekt där de är inblandade. Det förefaller inte heller finnas någon strukturerad central övervakning och uppföljning av pågående projekt för Socialstyrelsen som helhet. Ledningen saknar därmed en samlad kunskap om vilka projekt som är försenade, vilka som drar över budget eller vilka som saknar resurser. Socialstyrelsen 9 (21)

12 4 Styrning och hantering av enskilda IT-utvecklingsprojekt Utvärderingen av hur enskilda utvecklingsprojekt hanteras gjordes genom att välja två projekt för detaljerad granskning. I samband med urvalet av projekt för granskning diskuterades ett flertal projekt, däribland några som bedömdes som misslyckade. Internrevisionen valde dock att välja två projekt som ansågs ha fungerat tillfredsställande, då det bedömdes onödigt att slå in öppna dörrar där brister redan konstaterats. Projekten som valdes var uppgraderingen av DHS till version 4.1 och införande av Nationell webbaserad kunskapsportal (Kunskapsportalen). Dessa två projekt är relativt olika i karaktär då Kunskapsportalen är ett regeringsuppdrag med tydlig kravbild och omfattning medan uppgraderingen av DHS är mer fritt och styrt utifrån avdelningarnas önskemål och behov. 4.1 Projektmodell Det finns en internt utarbetad projektmodell 5 inom Socialstyrelsen som är anpassad för olika typer av projekt, denna är dock inte uppdaterad sedan Exempelvis hänvisas i vissa delar till det IT-råd som ej längre finns. Av de två granskade projekten är det endast Kunskapsportalen som följt projektmodellen. Inom DHS-projektet användes inte modellen då den inte ansågs vara ändamålsenlig. Utifrån intervjuer har det framkommit att projektmodellen inte är anpassad för de krav som ställs vid IT-projekt. Synpunkter har framkommit på att den behöver bytas ut, alternativt uppdateras, då den saknar tydlighet kring ansvar och roller samt saknar tydliga mallar för projektstyrning och projektuppföljning. Modellen saknar också tydliga riktlinjer kring statusrapportering och användning av styrgrupper i projekten. Det förefaller vara vanligt förekommande att projektmodellen inte används i ITutvecklingsprojekt inom Socialstyrelsen då den inte anses relevant och ändamålsenlig. 4.2 Projektförutsättningar För Kunskapsportalen finns en projektplan som beskriver projektet och kraven har dokumenterats i så kallade user stories. För DHS-projektet finns ett projektdirektiv, upprättat enligt leverantören Logicas mall, där projektorganisationen finns dokumenterad. Kraven har dokumenterats i en Excelfil. Ingen formell beställningsrutin/mall finns för beställningar till Logica. Det händer att kraven som Socialstyrelsen skickar till Logica förändras flera gånger dvs. kraven blir inte frysta. Detta medför ibland att utvecklingen tar längre tid och därmed blir mer kostsam då lösningen måste konstrueras om flera gånger. Inom DHS finns inte heller någon process för prioriteringar av ändringsförslag. Om olika önskemål kommer från flera avdelningar kan det bli svårt att tillmötesgå alla önskemål. Detta har inte varit fallet hittills, men eftersom systemet används allt mer av fler avdelningar skulle detta kunna inträffa. Det finns litet dokumenterat om systemet sedan tidigare men sedan augusti 2010 har systemförvaltningsorganisationen för DHS (inom IT-enheten) börjat dokumentera alla förändringar som görs. 5 Beslutad , reviderad Socialstyrelsen 10 (21)

13 Inom Kunskapsportalprojektet är bedömningen att det finns tillräckligt med resurser. De är överbudgeterade dvs. kommer inte göra av med alla pengar i budgeten. Många konsulter deltar i projektet och svårigheten är inte att hålla budgeten utan att klara av tidsplanen. Inom DHS finns ett stort nyckelpersonberoende avseende projektledaren som i stor utsträckning hanterar projektet själv på Socialstyrelsen tillsammans med Logica. Systemägaren är även involverad men inte alls i samma grad som projektledaren. Projektet har endast en operativ styrgrupp som utgörs av projektledaren och systemägaren från Socialstyrelsen och två personer från Logica. Ett generellt problem som framkommit i flera intervjuer är svårigheten att få tillgång till ITresurser i projekt. IT-enheten vill vara med tidigt i projekten men verksamheten upplever ibland att IT-enhetens representanter inte tillför projektet det värde de förväntat. En av orsakerna till detta är att IT-enheten enligt uppgift främst består av plattformstekniker och supportkunniga som saknar erfarenhet och kompetens inom verksamhetsnära projektarbete och som inte har tillräcklig kunskap om verksamheten. 4.3 Löpande projektuppföljning Löpande projektuppföljning sker inom båda de granskade projekten. Uppföljningen är dock främst kopplad till projektets framfart och status medan aspekter som efterlevnad av budget och projektrisker inte beaktas i tillräcklig utsträckning. Styrgruppen för DHS-projektet ska egentligen träffas varje månad men har hittills endast haft två möten; i november och i februari. Inom Kunskapsportalprojektet har viss budgetuppföljning skett av projektledaren men inte på ett strukturerat och regelbundet sätt och det finns inte dokumentation från detta. Inom DHS-projektet sker ingen uppföljning av budgeten. Ingen följer heller upp debiterade timmar från Logica. Alla timmar/kostnader kopplat till DHS läggs samman vid fakturering, Logica lämnar dock en specifikation på hur timmarna fördelats per projekt och konsult. Det sker dock inte någon uppföljning av förbrukade timmar och interna kostnader tas inte med i projektbudgeten. Logica levererar även löpande support för akuta ärenden till Socialstyrelsen, kostnaderna för supporten faktureras också gemensamt med utvecklingskostnaderna. Rutinerna för redovisning av kostnader i samband med utvecklingsprojekt är också oklara vad avser gränsdragningen mellan det som tillgångsredovisas respektive kostnadsförs. I Kunskapsportalprojektet kostnadsförs exempelvis samtliga lönekostnader för intern personal, även kostnaden för den personal som deltar direkt i arbetet med att ta fram tillgången (Kunskapsportalen). I Kunskapsportalprojektet gjordes en riskanalys när projektplanen togs fram, vilken dokumenterades i projektplanen och enligt uppgift avrapporterades med förslag på åtgärder i referensgruppen. Denna är dock inte fullt genomförd då riskanalyser och uppföljning av åtgärder inte gjorts löpande i projektet därefter. I DHS-projektet identifierades tre risker i kravspecifikationen som nu är åtgärdade. er behandlas på styrgruppsmöten men det finns inget specifikt dokument som beskriver riskerna. Socialstyrelsen 11 (21)

14 En generell iakttagelse från intervjuerna är att det finns många olika uppfattningar om vad en styrgrupp är och vilken roll denna ska ha i ett projekt. Det förefaller som styrgrupper har mycket olika arbetssätt i de fall de används. 4.4 Projektavslut Hantering av projektavslut är ett område som inte tas upp i Socialstyrelsens projektstyrningsmodell. Inom Kunskapsportalprojektet finns inga tydliga avslutspunkter ännu. Ett förslag på förvaltning har lämnats av Socialstyrelsen men beslut har ännu inte erhållits från regeringen. Förvaltning av DHS version 4.0 finns redan och samma organisation kommer att användas för version 4.1. Det finns dock inte tydliga riktlinjer för hur överlämning ska ske från Logica till Socialstyrelsen. Utifrån övriga intervjuer har framkommit att det generellt inte finns rutiner avseende överlämning till förvaltning och drift och att kommunikationen många gånger har varit bristande vid överlämning från projekt. I utvecklingsprojekt anlitas ofta konsulter som ibland även medverkar vid driftsättning. Problem uppstår då när konsulterna lämnar projektet till drift då oklarheter kring roller och ansvar förekommer. Socialstyrelsen 12 (21)

15 5 Hantering av löpande systemförvaltning och ITutvecklingsaktiviteter 5.1 Systemförvaltning Det har funnits och finns fortfarande en osäkerhet inom Socialstyrelsen när det gäller roller och ansvar inom systemförvaltning. Det finns exempelvis ingen uttalad strategi kring ITenhetens roll inom systemförvaltningen. Idag agerar IT-enheten systemförvaltare främst för de flesta administrativa systemen, för mailsystemet och för DHS-systemet. För övriga system hanteras systemförvaltningen av verksamheten själva, ofta med hjälp av konsulter. En ny systemförvaltningsmodell har nyligen tagits fram och beslutats inom Socialstyrelsen 6. Det fanns även tidigare en systemförvaltningsmodell men denna var inte uppdaterad på många år och efterlevdes inte. Roller såsom systemägare och systemförvaltare har även funnits tidigare men det har inte funnits någon bild av vad rollerna innebär. Den nya systemförvaltningsmodellen är en förenklad modell där det för varje system ska upprättas ett förvaltningskontrakt som tydliggör ansvar och roller för systemet. Det har funnits och finns fortfarande en otydlighet kring ansvarsfördelningen mellan IT-enheten och verksamheten, vilket den nya modellen ämnar klargöra. Modellen innebär att verksamheten (respektive avdelning/enhet) ska vara systemägare för sina respektive system. IT-enheten kommer dock ha systemförvaltarrollen för vissa gemensamma system. Tanken är att systemägarna för varje enskilt system får bestämma själva hur de vill ha det och att detta ska dokumenteras. Den nya modellen är i ett första steg mer en kartläggning av roller och ansvar. Något som dock saknas i modellen är en tydlig beskrivning av vad rollerna systemägare och systemförvaltare innebär. En omorganisation pågår för närvarande inom IT-enheten, vilken kommer att resultera i en förvaltningsgrupp inom IT-enheten med ansvar att förvalta några myndighetsgemensamma system som Sharepoint-applikationer och DHS. Förvaltningsgruppen kommer också att ha till uppgift att fordra in systemkontrakt även för system som inte förvaltas av dem, så att myndigheten kan få en överblick över den totala förvaltningen. IT-enheten kommer att följa upp efterlevnaden av systemförvaltningsmodellen löpande och rapportera detta till ledningsgruppen och GD. Vid intervjuer har det framkommit att det finns brister i kravställningen från verksamheten gentemot IT-enheten för förvaltning av Socialstyrelsens IT-system. Mindre förändringar i systemen har hittills arbetats fram av de som arbetar med systemen i verksamheten tillsammans med någon på IT-enheten. Det finns inga interna serviceavtal (SLA 7 ) mellan verksamheten och IT-enheten. En önskad effekt av den nya systemförvaltningsmodellen är att denna ska tydliggöra och formalisera verksamhetens ansvar för kravställning gentemot ITenheten. För att möjliggöra denna kravställning krävs också att IT-enheten tydliggör på vilket sätt och i vilken utformning som kraven ska definieras. Ett område där systemförvaltningen under många år har dragits med problem är förvaltningen av Socialstyrelsens register och databaser som främst används av avdelningen Statistik och 6 Beslutad av GD vid ledningsgruppsmöte Service level agreement Socialstyrelsen 13 (21)

16 utvärdering och hanteras i SAS-system. Det är ungefär personer inom avdelningen som arbetar med dessa system dagligen. Verksamheten som arbetar med statistikregistren har inte lyckats komma överens med IT-enheten om en fungerande arbetsfördelning och det finns inom denna verksamhet en bild av att IT-enheten inte förstår deras behov. Ett område som varit föremål för meningsskiljaktigheter när det gäller IT-lösningar är vilken nivå av informationssäkerhet som behövs. Detta försvåras ytterligare av att det inom myndigheten finns brister inom informationssäkerhetsarbetet och att det inte finns någon informationssäkerhetsansvarig utsedd med kompetens att bedöma vad som är en rimlig säkerhetsnivå. Idag hanteras uppdateringar och utveckling av förändringar i SAS-miljön av verksamheten själva med hjälp av konsulter från systemleverantören. IT-enheten sköter endast drift av de Windowsservrar som SAS-systemen ligger på. Ibland medverkar IT-enheten vid driftsättning av förändringar, men inte alltid. Det finns en stor osäkerhet kring ansvar och roller mellan avdelningen och IT-enheten, speciellt vid förändringar som påverkar både applikation och ITinfrastruktur, som exempelvis kommunikationslösningar 5.2 Systemutveckling IT-enheten utför ingen systemutveckling utan detta hanteras av externa konsulter på uppdrag av sakavdelningarna. Ett fåtal personer inom IT-enheten ger visst stöd i arbetet med förstudier och kravställning. Det finns ingen formell rutin eller process för systemutveckling inom Socialstyrelsen. Det finns exempelvis inga dokumentationskrav och de arbetar inte med standardiserade ändringsbegäranden eller driftsättningsrutiner. IT-enheten har dock skapat en lista i Sharepoint för att dokumentera och klassificera förändringar internt på IT-enheten. För DHS har även rutiner avseende ändringsbegäran tagits fram. IT-enheten arbetar också med att etablera funktionsansvariga för olika delar av plattformen och systemförvaltare för olika system. En person ska exempelvis vara ansvarig för alla förändringar avseende Sharepoint. Generellt är dokumentationen bristfällig vid förändringar. Det saknar exempelvis ofta spårbarhet från godkännanden i samband med testning och driftsättning. Detta kommer dock enligt uppgift att hanteras i ett nytt verktyg (helpdesksystem) som ska införas inom kort. IT-enheten har s.k. servicefönster för uppdateringar var fjärde tisdagskväll samt några helger om året. Tidplanen publiceras på intranätet. Det finns ett flertal system som kräver regelbundna uppdateringar men framförallt är det Microsoft-patchar och uppdateringar i DHS som är under aktiv förvaltning. En acceptanstestmiljö håller på att byggas upp, primärt för Sharepoint-applikationer som DHS men även för övriga system. Acceptanstester görs idag endast för vissa system eftersom acceptanstestmiljöer inte finns uppbyggda för alla system. Problem uppstår ibland i förvaltningsfasen när en produkt har driftsatts om IT inte varit involverade/informerade i utvecklingen. Socialstyrelsen 14 (21)

17 6 Förbättringsområden, bedömningar och rekommendationer Utifrån resultatet av vår granskning har vi identifierat ett antal förbättringsområden där vi ser att Socialstyrelsen behöver vidta åtgärder. Nedan ges en sammanställning och bedömning av respektive förbättringsområde, vilket följs av detaljerade beskrivningar av förbättringsområde, risk och rekommendation. Internrevisionen har i respektive förbättringsområde gjort en bedömning av risken. Har risken bedömts vara kritisk är revisionsbedömningen mycket otillfredsställande (röd). Anses risken vara mycket väsentlig är revisionsbedömningen otillfredsställande (orange). Anses risken som väsentlig är revisionsbedömningen delvis otillfredsställande (gul). Är risken mindre väsentlig är revisionsbedömningen tillfredsställande (grön). bedömning för samtliga identifierade förbättringsområden. Förbättringsområde Otydliga roller och processer för styrning av ITutveckling Otydlig beslutsprocess avseende IT-utvecklingsprojekt Avsaknad av IT-strategi ökar osäkerheten kring ITutvecklingsbeslut Socialstyrelsens projektstyrningsmodell är bristfällig Bristfällig projektuppföljning Otydliga riktlinjer för kostnadsredovisning Bristande hantering av projektavslut IT-enheten saknar resurser med tillräcklig erfarenhet 3 från projektarbete Systemförvaltningsmodellen saknar rollbeskrivningar Avsaknad av struktur och process för hantering av 1 förändringsbehov Otydligt ansvar för förvaltning av SAS-systemen Process för systemutveckling saknas 2 Socialstyrelsen 15 (21)

18 6.1 Styrning av IT-utveckling inom myndigheten Otydliga roller och processer för styrning av IT-utveckling Det finns en otydlighet och osäkerhet kring såväl roller och ansvar som processer avseende utveckling av Socialstyrelsens IT-system. Det finns inte en process för prioritering och resursplanering av utvecklingsprojekt och det finns inte någon övergripande samordning, koordinering och uppföljning av pågående och planerade utvecklingsprojekt. en är att utvecklingsprojekt startas och implementeras som: - inte är förankrade i högsta ledningen - inte har de rätta förutsättningarna och resurserna - inte på ett kostnadseffektivt och säkert sätt kan driftas inom Socialstyrelsens tekniska plattform - har negativ påverkan på andra pågående utvecklingsaktiviteter - inte efterfrågas av verksamheten Detta kan i sin tur leda till merkostnader för myndigheten. Socialstyrelsen har ett stort behov av att skapa en tydlig struktur och enhetliga processer för styrning av sina IT-utvecklingsaktiviteter. En utvecklingsprocess skulle behöva tas fram och kommuniceras med tydliga riktlinjer och rutiner för enhetlig hantering av samordning, koordinering, resursplanering och uppföljning av pågående och planerade utvecklingsprojekt. Vår bedömning är att dessa nya processer och arbetssätt ej kan åstadkommas med befintliga roller och resurser. De roller som vi rekommenderar att införa är följande: En övergripande IT-strateg rekryteras till GD-staben/Administrativa avdelningen med främst följande arbetsuppgifter: o ansvara för Socialstyrelsens användning av IT o systemägare för den gemensamma IT-infrastrukturen o ansvara för Socialstyrelsens IT strategi och dess genomförande o representera beställaren av IT-stöd (verksamheten) gentemot leverantören (ITenheten eller annan leverantör) o medverka i styrgrupp (eller motsvarande) för samtliga myndighetsgemensamma eller mer omfattande IT-utvecklingsprojekt o ansvara för sammanställning och uppföljning av Socialstyrelsens samtliga pågående och planerade IT-utvecklingsprojekt En eller flera kundansvariga rekryteras/utses inom IT-enheten med främst följande arbetsuppgifter: o ansvara för mottagning av önskemål om resurser/medverkan från IT-enheten för såväl avdelningsspecifika som myndighetsgemensamma IT-utvecklingsprojekt o hantera all mottagning av förändringsbehov från verksamheten i de fall tydliga kommunikationskanaler inte redan finns etablerade inom systemförvaltningsmodellen o ha kontinuerliga uppföljningsmöten med sakavdelningarna avseende verksamhetens IT-behov där även IT-strategen bör medverka En eller ett fåtal utpekade IT-samordnare/IT-beställare utses per avdelning med främst följande arbetsuppgifter. o ansvara för koordinering av förändringsbehov i IT-stödet inom avdelningen Socialstyrelsen 16 (21)

19 o agera språkrör gentemot IT-enheten och förmedla avdelningens förändringsbehov och IT-resursbehov i utvecklingsprojekt med kundansvarig inom IT-enheten o medverka i regelbundna uppföljningsmöten med kundansvarig på IT-enheten Vi rekommenderar även att IT-strategen och IT-samordnarna/IT-beställarna träffas regelbundet (exempelvis månadsvis) i någon form av IT-beställarforum för att diskutera myndighetsgemensamma IT-utvecklingsbehov Otydlig beslutsprocess avseende IT-utvecklingsprojekt Det finns inte en tydlig struktur för beslut kring IT-investeringar och IT-utvecklingsprojekt. Det är oklart vilka beslut som ska fattas av GD och vilka som kan hanteras inom avdelningarna. Beslutade IT-utvecklingsprojekt är inte heller samordnade och kopplade till den ordinarie planeringsprocessen och verksamhetsplanerna. Det har också framkommit att beslut ofta tas utan ändamålsenliga och väl underbyggda beslutsunderlag. Otydlighet i beslutshantering och koppling till planeringsprocessen ökar risken för att resurser utnyttjas ineffektivt och försvårar möjligheten till god planering och styrning av projekt. Undermåliga beslutsunderlag kan leda till felaktiga beslut med misslyckade investeringar som följd. Vi rekommenderar att Socialstyrelsen tydliggör processen för beställning och beslut av utvecklingsprojekt inklusive mallar för framtagande av väl underbyggda beslutsunderlag för utvecklingsbehov Avsaknad av IT-strategi ökar osäkerheten kring IT-utvecklingsbeslut Avsaknaden av en formellt beslutad IT-strategi ökar osäkerheten kring strategiska investeringar och utvecklingsaktiviteter. IT-strategin bör bygga på myndighetens strategier och omfatta de strategier och mål som styr hur information ska hanteras och användas på bästa sätt inom verksamheten. IT-strategin bör sedan även brytas ned till mer operativa handlingsplaner. Utan IT-strategi ökar risken att IT-utvecklingsprojekt och IT-investeringar leder till dysfunktionella och komplexa systemmiljöer, vilket är både kostnadsineffektivt och försvårar underhåll och förvaltning. Vi rekommenderar att en IT-strategi upprättas inom Socialstyrelsen. Upprättandet kan hanteras av en eventuell IT-strateg alternativt IT-enheten, men bör fokusera på verksamhetens strategiska behov av IT-stöd i sina processer och bör därmed tas fram genom omfattande samverkan med verksamheten. Socialstyrelsen 17 (21)

20 6.2 Styrning och hantering av enskilda utvecklingsprojekt Socialstyrelsens projektmodell är bristfällig Socialstyrelsens projektmodell är inte uppdaterad, är inte ändamålsenlig avseende IT-projekt och efterlevs inte. Bland annat saknar modellen tydliga riktlinjer kring statusrapportering och information avseende användning av styrgrupper i projekten. Utan en tydlig projektmodell ökar risken för att väsentliga kontrollmoment och beslutspunkter ej beaktas i IT-utvecklingsprojekt vilket kan leda till såväl kvalitetsbrister i leveransen som onödigt höga kostnader. Vi rekommenderar att projektmodellen antingen revideras eller byts ut för att svara upp mot kraven vid IT-utvecklingsprojekt. Det finns ett flertal etablerade projektstyrningsmodeller som kan användas som utgångspunkt i det fall Socialstyrelsen vill bygga sin egen modell Bristfällig projektuppföljning Den löpande projektuppföljning som generellt sker avser främst projektets framfart och tar inte hänsyn till viktiga aspekter såsom budgetuppföljning, avvikelsehantering och löpande riskanalyser. Det finns även en stor osäkerhet kring styrgruppens roll kopplat till projektuppföljning. Bristfällig uppföljning av projektets kostnader och risker kan leda till såväl kvalitetsbrister i leveransen som onödigt höga kostnader. Vi rekommenderar att projektmodellen kompletteras med tydliga riktlinjer kring löpande uppföljning och statusrapportering. Vi rekommenderar att samtliga verksamhetsutvecklingsprojekt där IT-utveckling ingår har en styrgrupp som representant för beställaren av projektet. Denna bör regelbundet följa upp projektet genom styrgruppsmöten där projektledaren rapporterar status t.ex. månatligen Otydliga riktlinjer för kostnadsredovisning Det finns inte internt utarbetade anvisningar och rutiner för vilka kostnader som ska ingå i anskaffningsvärdet för en internt upparbetad immateriell anläggningstillgång i samband med utvecklingsprojekt 8. I Socialstyrelsens interna anvisningar för redovisning av immateriella anläggningstillgångar Beskrivning av immateriella investeringar ( ) finns det inte angivet vilka kostnader som ska ingå i anskaffningsvärdet för en internt upparbetad immateriell anläggningstillgång. Rutinerna för redovisning av kostnader i samband med utvecklingsprojekt är också oklara vad avser gränsdragningen mellan det som tillgångsredovisas respektive kostnadsförs. I Kunskapsportalprojektet kostnadsförs exempelvis samtliga lönekostnader 8 ESV:s handledning om immateriella anläggningstillgångar (ESV 2002:3) finns publicerad på intranätet Socialstyrelsen 18 (21)

21 inklusive kostnaden för den personal som deltar direkt i arbetet med att ta fram tillgången (Kunskapsportalen). Avsaknad av anvisningar och rutiner kring kostnadsredovisning medför risk för att bestämmelserna i föreskrifterna till 5 kap. 3 FÅB (Förordning (2000:605) om årsredovisning och budgetunderlag), om att i anskaffningsvärdet för en förvärvad tillgång ska räknas in kostnader som är direkt hänförliga till förvärvet, inte efterlevs. Detta är fallet i Kunskapsportalprojektet Nationell webbaserad kunskapsportal där kostnaderna för den personal som deltar direkt i att ta fram tillgången kostnadsförs. Vi rekommenderar att Ekonomienheten förbättrar och förtydligar rutinerna och anvisningarna för redovisning av internt upparbetade immateriella anläggningstillgångar med avseende på vilka kostnader som ska ingå i anskaffningsvärdet. Rutinerna för uppföljning av nedlagda kostnader bör också förbättras i respektive utvecklingsprojekt Bristande hantering av projektavslut Det finns inte enhetliga och tydliga rutiner för projektavslut och överlämning till drift och förvaltning. Kommunikationen har många gånger varit bristande vid överlämning av projekt till förvaltning. I utvecklingsprojekt anlitas ofta konsulter som även medverkar vid driftsättning. Problem uppstår när konsulterna lämnar projektet till drift då oklarheter kring roller och ansvar förekommer. I de fall förvaltningsorganisationen saknar tillräckliga resurser och utbildning för att hantera en större förändring i IT-stödet ökar risken för driftstörningar och bristande hantering av verksamhetens information. Vi rekommenderar att enhetliga rutiner och kontrollpunkter införs i projektstyrningsmodellen för att säkerställa att förvaltningsorganisationen har de resurser och kompetenser som krävs för en tillfredsställande drift och förvaltning IT-enheten saknar resurser med tillräcklig erfarenhet från projektarbete Flera representanter från verksamheten har i intervjuer lyft fram att det är svårt att få tillgång till IT-resurser med rätt kompetens i projekten. En anledning till detta är att IT-enheten enligt uppgift främst består av plattformstekniker och supportkunniga. Dessa saknar generellt den erfarenhet och kompetens som efterfrågas vid medverkan i projekt och styrgrupper som drivs av verksamheten. IT-enheten har idag för få resurser med verksamhetsförståelse och kompetens att omvandla verksamhetens önskemål och krav till IT-utvecklingsaktiviteter. Socialstyrelsen 19 (21)

22 Utvecklingsprojekt utan IT-resurser som stödjer arbetet med att förbättra och effektivisera verksamhetens användning av IT riskerar att resultera i systemstöd med såväl bristande ändamålsenlighet som driftsäkerhet. Vi rekommenderar att Socialstyrelsen ser över möjligheten att antingen genom utbildning eller genom rekrytering höja spetskompetensen inom IT-enheten när det gäller omvandling av verksamhetens önskemål och krav till IT-utvecklingsaktiviteter. 6.3 Hantering av löpande systemförvaltning och ITutvecklingsaktiviteter Systemförvaltningsmodellen saknar rollbeskrivningar Den nya systemförvaltningsmodellen är ett bra initiativ men saknar tydliga beskrivningar av rollerna systemägare och systemförvaltare som i modellen ska definieras. Utan en tydlig beskrivning av vad rollerna innebär ökar risken för att modellen inte används på ett ändamålsenligt sätt. Vi rekommenderar att Socialstyrelsen fortsätter införandet av den nya systemförvaltningsmodellen men att den kompletteras med en tydlig beskrivning av rollerna systemägare och systemförvaltare Avsaknad av struktur och process för hantering av förändringsbehov Det har vid granskningen framkommit att det inte finns en struktur och process för såväl kravställning som mottagande av förändringsbehov kopplat till IT-stödet. Idag sker kravställning avseende förändringsbehov kopplat till IT-stödet ad hoc. Ibland sker det genom muntlig kontakt med enskilda individer på IT-enheten medan det ibland sker formellt i form av PM eller liknande. Det finns ingen enhetlig struktur för hur förändringsbehov ska kommuniceras mellan verksamheten och IT-enheten eller andra leverantörer. Utan en tydlig process och tydliga roller för kommunikation av förändringsbehov avseende IT-stödet ökar risken för att förändringsbehoven hanteras av enskilda individer som kanske saknar tillräcklig helhetsbild och rätt kompetens för att hantera behovet på bästa sätt. Vi rekommenderar att Socialstyrelsen skapar en enhetlig process för beställning av förvaltnings- och IT-utvecklingsärenden till IT-enheten (och andra leverantörer). Ju mer det går att renodla kommunikationsvägarna desto bättre. Vi föreslår därför att varje avdelning utser en eller ett fåtal IT-samordnare/IT-beställare med ansvar att koordinera förändringsbehov i IT-stödet inom avdelningen och agera språkrör gentemot IT-enheten. Socialstyrelsen 20 (21)

23 Rollen innebär att vara förmedlare och kanal för information mellan chefer och verksamhet inom en avdelning till/från IT-enheten. På IT-enheten å andra sidan rekommenderar vi att en eller ett fåtal kundansvariga rekryteras/utses med ansvar att ta emot förändringsbehov från verksamheten och se till att rätt resurser hanterar dessa förfrågningar. Alla förändringsbehov i IT-stödet bör gå genom dessa personer där det inte redan finns fastställda kommunikationskanaler inom systemförvaltningsmodellen. Kundansvariga bör även ha kontinuerliga uppföljningsmöten med avdelningarnas IT-samordnare/IT-beställare avseende verksamhetens IT-behov där även IT-strategen kan medverka Otydligt ansvar för förvaltning av SAS-systemen Systemförvaltningen avseende de register och databaser som främst används av avdelningen Statistik och utvärdering och hanteras i SAS-system har inte fungerat tillfredsställande under en längre tid. Verksamheten som arbetar med statistikregistren har inte lyckats komma överens med IT-enheten om en för båda parterna acceptabel förvaltning. Utan en tydlig process och förvaltningsstrategi avseende SAS-systemen ökar risken för att informationen i systemen inte hanteras ändamålsenligt vilket kan medföra bristande kvalitet och effektivitet i verksamheten. Vi rekommenderar att systemförvaltningskontrakt upprättas för samtliga väsentliga register och databaser i enlighet med den nya systemförvaltningsmodellen för att i möjligaste mån tydliggöra ansvaret för förvaltning av systemen. Vi rekommenderar också att det framgår av Socialstyrelsens plattformsstrategi huruvida SASsystemen ingår i myndighetens långsiktiga val av IT-system Process för systemutveckling saknas Inom Socialstyrelsen finns ingen formell rutin eller process för hur systemutveckling ska hanteras. En sådan rutin bör exempelvis inkludera riktlinjer för kravställning, systemdokumentation, testning och driftsättning. Utan en tydlig process för systemutveckling och systemförändringar ökar risken att ändringar ej hanteras på ett korrekt, tydligt och konsekvent sätt. Bristande dokumentation från systemförändringar försvårar möjligheten att följa och logga en ändring genom processen samt ökar risken för att icke godkända ändringar blir driftsatta. En konsekvens av detta kan vara driftstörningar eller att verksamhetskritiska system inte fungerar i enlighet med uppsatta krav och mål. Vi rekommenderar att en enhetlig process för myndighetens systemutveckling tas fram och fastställs. Processen bör omfatta all systemutveckling inom Socialstyrelsen, även sådan som utförs av konsulter och externa leverantörer. Socialstyrelsen 21 (21)

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Projekthantering inom landstinget i Värmland - en förstudie

Projekthantering inom landstinget i Värmland - en förstudie LANDSTINGET I VÄRMLAND Revisionskontoret 2014-08-28 Veronica Hedlund Lundgren Rev/14024 Projekthantering inom landstinget i Värmland - en förstudie Rapport 2-14 Projekthantering vid Landstinget i Värmland

Läs mer

Byta system bli klar i tid och undvik onödiga kostnader

Byta system bli klar i tid och undvik onödiga kostnader Byta system bli klar i tid och undvik onödiga kostnader Registratorskonferens 19 maj 2015 Elisabeth Jarborn Arkivchef och verksamhetsutvecklare, Danderyds kommun På två månader kan ni ha ny teknisk lösning

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Projektmodell. 1. Riktlinjer projektmodell 1 (6) 2010-03-12

Projektmodell. 1. Riktlinjer projektmodell 1 (6) 2010-03-12 12 1 (6) Projektmodell Projektmodell Projektmodell... 1 1. Riktlinjer projektmodell... 1 2. Projektförutsättningar... 2 2.1 Uppdragsgivaren... 2 2.2 Direktiv... 2 2.3 Förstudie... 2 2.4 Beslut... 2 2.5

Läs mer

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod

Läs mer

Riktlinjer Projektmodell fo r Kungä lvs kommun

Riktlinjer Projektmodell fo r Kungä lvs kommun Riktlinjer Projektmodell fo r Kungä lvs kommun Riktlinjerna är antagna av förvaltningsledningen 2013-01-28 och gäller tillsvidare. (Dnr KS2012/1542) Ansvarig för dokumentet är chefen för enheten Utveckling,

Läs mer

Projektregler Gemensamma förvaltningen Projektkontoret Sida: 1 (9) 2011-07-11. Projektregler. för den universitetsgemensamma projektverksamheten

Projektregler Gemensamma förvaltningen Projektkontoret Sida: 1 (9) 2011-07-11. Projektregler. för den universitetsgemensamma projektverksamheten Projektkontoret Sida: 1 (9) Projektregler för den universitetsgemensamma projektverksamheten Projektkontoret Sida: 2 (9) Innehåll Syfte och bakgrund...4 1.1 Syfte...4 1.2 Bakgrund...4 2 Regler för projekt...4

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

Ramavtalsupphandlingar inom IT-området

Ramavtalsupphandlingar inom IT-området Revisionsrapport Kammarkollegiet Box 2218 103 15 Stockholm Datum Dnr 2010-01-27 32-2009-0520 Ramavtalsupphandlingar inom IT-området Riksrevisionen har som ett led i den årliga revisionen av Kammarkollegiet

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Intern styrning och kontroll i Riksbanken 2013

Intern styrning och kontroll i Riksbanken 2013 Rapport ISK 2013 DATUM: 201-01-21 AVDELNING: STA/RIE HANDLÄGGARE: Urban Örtberg HANTERINGSKLASS B E G R Ä N S A D SVERIGES RIKSBANK SE-103 37 Stockholm (Brunkebergstorg 11) Tel +6 8 787 00 00 Fax +6 8

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Projektplanering www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

FÖRFATTNINGSSAMLING 1 (6)

FÖRFATTNINGSSAMLING 1 (6) FÖRFATTNINGSSAMLING 1 (6) YZ 2 ANVISNINGAR FÖR IT-VERKSAMHETEN I LOMMA KOMMUN 1. SYFTE OCH STYRDOKUMENT 1.1 Syfte Syftet med Anvisningar för Lomma kommuns IT-verksamhet är att säkerställa att IT stödjer

Läs mer

Internrevisionsförordning (2006:1228)

Internrevisionsförordning (2006:1228) Internrevisionsförordning (2006:1228) Ekonomistyrningsverkets föreskrifter och allmänna råd1 Tillämpningsområde 1 Denna förordning gäller för förvaltningsmyndigheter under regeringen i den omfattning som

Läs mer

Granskning av kommunens styrning av projekt svar på revisionsrapport

Granskning av kommunens styrning av projekt svar på revisionsrapport 2012-11-01 KS-2012/916.912 1 (7) HANDLÄGGARE Hanna Lundborg Hanna.Lundborg@huddinge.se Kommunstyrelsen Granskning av kommunens styrning av projekt svar på revisionsrapport Förslag till beslut Kommunstyrelsen

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport

Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport Percy Carlsbrand Februari 2011 Innehållsförteckning 1 Sammanfattande bedömning och rekommendationer...

Läs mer

Att välja verktyg för portföljhantering. - Vad vet en leverantör om det?

Att välja verktyg för portföljhantering. - Vad vet en leverantör om det? Att välja verktyg för portföljhantering - Vad vet en leverantör om det? Agenda Problem som ska lösas med verktyg Olika typer av verktyg Att utvärdera och välja verktyg Egenutvecklat eller standard Förankring

Läs mer

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance,

Läs mer

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor Granskning av intern kontroll Söderhamns kommun Revisionsrapport Februari 2011 Micaela Hedin Certifierad kommunal revisor Robert Heed Revisionskonsult Innehållsförteckning Sammanfattning... 3 1. Inledning...

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Projektprocessen. Projektprocess

Projektprocessen. Projektprocess Dnr Mahr 19-2014/563 1 (av 6) Projektprocess Datum: Version: Dokumentansvarig: 150116 1.0 Jenny Wendle Stöddokument för det grafiska dokumentet Projektprocessen grafisk 1.0 Projektprocessen Projektprocessen

Läs mer

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT ITIL is a registered trade mark of AXELOS Limited. Bakgrund till modellen... 3 Beskrivning av modellen... 4 Modellens uppbyggnad... 5 Faser...

Läs mer

Processbeskrivning Systemutveckling

Processbeskrivning Systemutveckling ProcIT-P-015 Processbeskrivning Systemutveckling Lednings- och kvalitetssystem Fastställd av Sven Arvidson 2011-09-12 Innehållsförteckning 1 Inledning 3 1.1 Symboler i processbeskrivningarna 3 2 Systemutvecklingsprocessen

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Aktiviteter vid avtalets upphörande

Aktiviteter vid avtalets upphörande SID 1 (10) Bilaga 4h Aktiviteter vid avtalets upphörande Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt genomförande inom Skolplattform Stockholm Box 22049, 104

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

Revisionsrapport. Intern styrning och kontroll i upphandlings- och inköpsprocessen. Sammanfattning

Revisionsrapport. Intern styrning och kontroll i upphandlings- och inköpsprocessen. Sammanfattning Revisionsrapport Göteborgs universitet Box 100 405 30 Göteborg Datum Dnr 2012-02-13 32-2011-0676 Intern styrning och kontroll i upphandlings- och inköpsprocessen Riksrevisionen har som ett led i den årliga

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Riktlinjer för internrevisionen vid Sida

Riktlinjer för internrevisionen vid Sida Riktlinjer för internrevisionen vid Sida Sekretariatet för utvärdering och intern revision Riktlinjer för internrevisionen vid Sida Beslutade av Sidas styrelse 2007-06-01. Sekretariatet för utvärdering

Läs mer

Projekt- och kvalitetsstyrning på Frontec

Projekt- och kvalitetsstyrning på Frontec Projekt- och kvalitetsstyrning på Frontec Detta dokument beskriver hur Frontec bedriver utvecklingsprojekt med kvalitetssäkring FSAB_LS020_Projekt och kvalitetsstyrning A.doc Sida 1(6) Frontec kan projekt

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

Granskning av styrsystemet MORA PLUS IT

Granskning av styrsystemet MORA PLUS IT Revisionsrapport Granskning av styrsystemet MORA PLUS IT Mora kommun November 2009 Författare Robert Heed Hans Gåsste Innehållsförteckning 1 Inledning... 3 1.1 Bakgrund och revisionsfråga... 3 1.2 Metod...

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Revisionsrapport Granskning av projektredovisning

Revisionsrapport Granskning av projektredovisning Revisionsrapport Granskning av projektredovisning Anna Hilmarsson, Certifierad kommunal revisor Emelie Lönnblad, Revisionskonsult Kristianstads kommun Januari 2012 Innehållsförteckning 1 Sammanfattning

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

30 maj 2013. Förstudie Granskning av kommunens hemsida

30 maj 2013. Förstudie Granskning av kommunens hemsida 30 maj 2013 Förstudie Granskning av kommunens hemsida Syfte & revisionsfråga Förstudien syftar till att ta reda på hur ansvarig förvaltning och avdelning hanterar informationen på hemsidan. Med hemsidan

Läs mer

Ramverk för projekt och uppdrag

Ramverk för projekt och uppdrag Peter Yngve IT-centrum 2011-02-10 1.0 1 (9) Ramverk för projekt och uppdrag Peter Yngve IT-centrum 2011-02-10 1.0 2 (9) BAKGRUND/MOTIV... 3 MÅL OCH SYFTE... 3 DEFINITIONER AV PROJEKT... 3 MODELL FÖR PROJEKTSTYRNING...

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Förtroendevald revisor i regionens stiftelser

Förtroendevald revisor i regionens stiftelser Förtroendevald revisor i regionens stiftelser Förtroendevald revisors uppgifter i regionens stiftelser Några särskilda arbetsuppgifter för den förtroendevalde revisorn vid granskningen av stiftelser är

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Granskning av bokslutsprocessen

Granskning av bokslutsprocessen www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Motala kommun Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2.

Läs mer

Granskning av IT-hanteringen

Granskning av IT-hanteringen Revisionsrapport Granskning av IT-hanteringen Katrineholms kommun Göran Persson Lingman Thomas Lidgren Januari 2013 Innehållsförteckning Sammanfattning och revisionell bedömning 3 1 Bakgrund och resultat

Läs mer

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:

Läs mer

Från arkitektur till IT-styrning

Från arkitektur till IT-styrning Från arkitektur till IT-styrning 29-30 mars 2012 Nebojsa Bjelobrk,IT-strateg Göteborg Energi AB Agenda Problembilden Vem? Hur? Vad? Inköp? Plocka ut? Lägga tillbaka? Bäst före datum? IT-styrning på Göteborg

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Revisionsrapport avseende granskning av Folke Bernadotteakademin Revisionsrapport Folke Bernadotteakademin 872 64 SANDÖVERKEN Datum 2004-02-09 Dnr 32-2003-0783 Revisionsrapport avseende granskning av Folke Bernadotteakademin Riksrevisionen har granskat verksamheten

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Projektplan: Internwebben

Projektplan: Internwebben 1 (5) Projektplan: Internwebben Uppdragsgivare: Ulf Heyman Projektledare Maria Hart Uppdaterad projektplan vid teknikbyte: 2009-10-26 Bakgrund och motiv Nuvarande intranät MittSLU - håller inte måttet,

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Regel. Regler för investeringar och projekt. 1. Inledning. 2. Definition av investering och projekt

Regel. Regler för investeringar och projekt. 1. Inledning. 2. Definition av investering och projekt Regel BESLUTSDATUM: 2014-03-18 BESLUT AV: Direktionen ANSVARIG AVDELNING: Avdelningen för verksamhetssupport FÖRVALTNINGSANSVARIG: Henrik Gardholm HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103 37

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

REVISIONSRAPPORT. Landstinget Halland. Granskning av projektredovisning. styrning och uppföljning 2004-05-18. Leif Johansson

REVISIONSRAPPORT. Landstinget Halland. Granskning av projektredovisning. styrning och uppföljning 2004-05-18. Leif Johansson REVISIONSRAPPORT Granskning av projektredovisning styrning och uppföljning Landstinget Halland 2004-05-18 Leif Johansson INNEHÅLLSFÖRTECKNING INNEHÅLLSFÖRTECKNING...1 1. Uppdrag...2 2. Syfte och metod...2

Läs mer

Kompetensprojekt På det mänskliga planet

Kompetensprojekt På det mänskliga planet LÅT SLÅ LÅT SLÅ Kompetensprojekt På det mänskliga planet Projektledning: Jan Linné Ornella Nettelhed Nils Joelsson Administration: Susanne Kruuse Praktisk Projektledning Seminarium HLF Låt Hjärtat Slå

Läs mer

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014 Riksrevisionen årlig revision 1 (14) 5.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har

Läs mer

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport ABCD Arvika kommun Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag Revisionsrapport KPMG AB Karlstad Offentlig sektor 2012-06-26 Antal sidor: 14 2012 KPMG AB, a Swedish limited

Läs mer

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november 2010. Haninge kommun. Granskning av säkerhet i löneutbetalningar

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november 2010. Haninge kommun. Granskning av säkerhet i löneutbetalningar Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november 2010 Haninge kommun Granskning av säkerhet i löneutbetalningar Innehåll 1. Sammanfattning och slutsatser...2 2. Inledning...2 2.1.

Läs mer

Riktlinjer för IT. DANDERYDS KOMMUN Kommunledningskontoret Elisabeth Hammerman. 2013-02-26 Dnr KS 2013/0082 Riktlinjer

Riktlinjer för IT. DANDERYDS KOMMUN Kommunledningskontoret Elisabeth Hammerman. 2013-02-26 Dnr KS 2013/0082 Riktlinjer 1(14) för IT Beslutsinstans: Kommundirektör Beslutsdatum: Giltighetstid: Tillsvidare na har behandlats i förvaltningschefsgruppen den 21 februari 2013. Dokumentet IT-strategi för Danderyds kommun 2010-2014

Läs mer

Granskningsredogörelse 2013. Styrning och intern kontroll översiktlig granskning

Granskningsredogörelse 2013. Styrning och intern kontroll översiktlig granskning Granskningsredogörelse 2013 Skellefteå Kraft AB Björn E Persson Styrning och intern kontroll översiktlig granskning Bakgrund och syfte Bakgrund Lekmannarevisionen har med hänsyn till risk och väsentlighet

Läs mer

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner Revisionsrapport Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner Solna stad April 2010 Josefin Loqvist 2010-04 Namnförtydligande Namnförtydligande Innehållsförteckning

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Projektregler Gemensamma förvaltningen Projektkontoret Sida: 1 (11) 2013-11-05. för den universitetsgemensamma projektverksamheten

Projektregler Gemensamma förvaltningen Projektkontoret Sida: 1 (11) 2013-11-05. för den universitetsgemensamma projektverksamheten Projektkontoret Sida: 1 (11) Projektregler för den universitetsgemensamma projektverksamheten Projektkontoret Sida: 2 (11) Innehåll Syfte och bakgrund... 3 1.1 Syfte... 3 1.2 Bakgrund... 3 2 Definitioner...

Läs mer

Checklistor för riskidentifiering

Checklistor för riskidentifiering Checklistor för riskidentifiering Generella risker Kravspecifikationen saknas eller är ofullständig Projektdefinitionen är inte förankrad inom projektet Projektmedarbetarna kan ej avsätta tillräcklig tid

Läs mer

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Ledning och styrning av IT i kommunen Kommunen har sedan många år en central IT-avdelning med ansvar för drift

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7) FÖRFATTNINGSSAMLING Nr KF 10 1 (7) IT-STRATEGI FÖR TIMRÅ KOMMUN Fastställd av kommunfullmäktige 2005-09-26, 55 Varför IT-strategi. Syftet med denna IT-strategi är att åstadkomma en förflyttning av fokus

Läs mer

Revisionsrapport. Intern kontroll i ekonomi- och personaladministration samt Redovisning av utlandsinsatser

Revisionsrapport. Intern kontroll i ekonomi- och personaladministration samt Redovisning av utlandsinsatser Revisionsrapport Försvarsmakten 107 85 STOCKHOLM Datum Dnr 2009-11-23 32-2009-0559-2 Intern kontroll i ekonomi- och personaladministration samt Redovisning av utlandsinsatser Riksrevisionen har under hösten

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Utveckling av gemensamma arbetsprocesser för högskolans verksamhetsstöd

Utveckling av gemensamma arbetsprocesser för högskolans verksamhetsstöd Dnr Mahr 19-2014/568 1 (av 10) Projektplan Beslutsdatum: Beslutande: Dokumentansvarig: 2015-03-27 Susanne Wallmark Jenny Wendle Revisionsinformation Version Datum Kommentar 1.0 150327 Slutgiltig projektplan

Läs mer

Beslut HSN 2013-12-11 HSN 1212-1455 BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Beslut HSN 2013-12-11 HSN 1212-1455 BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014 Målkategori: Effektiv och ändamålsenlig verksamhetsstyrning Riskområde Riskbeskrivning Kontrollmoment Kontrollansvar Frekvens Rapportering

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Riktlinjer för verksamhetsutveckling med hjälp av IT (e-förvaltningsutveckling) i Norrköpings kommun

Riktlinjer för verksamhetsutveckling med hjälp av IT (e-förvaltningsutveckling) i Norrköpings kommun Riktlinje 2010-12-10 Riktlinjer för verksamhetsutveckling med hjälp av IT (e-förvaltningsutveckling) i Norrköpings kommun KS F 2013/05330 Fastställd av kommundirektören den 10 december 2010. Denna riktlinje

Läs mer

Förvaltningsstrategi NyA 2014-2016

Förvaltningsstrategi NyA 2014-2016 Avdelningen för systemförvaltning och systemdrift Föredragande Per Zettervall Avdelningschef 010-470 03 00 per.zettervall@uhr.se DNR 4.2.2 2631-2013 Datum 2013-06-13 Postadress Box 45093 104 30 Stockholm

Läs mer

Inför Karolinska Institutets fördjupade riskanalyser 2012

Inför Karolinska Institutets fördjupade riskanalyser 2012 Bilaga 4 Inför Karolinska Institutets fördjupade riskanalyser 2012 Universitetsförvaltningen Ledningskansliet Fastställd av rektor Dnr 1977/2012-010 INNEHÅLL 1 Inledning... 1 2 Metodbeskrivning... 1 2.1

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Card Consulting. Projektmetodik Lars Ahlgren Card Consulting

Card Consulting. Projektmetodik Lars Ahlgren Card Consulting Projektmetodik Lars Ahlgren Card Consulting Denna artikel ger en övergripande beskrivning av en universell och etablerad projektmetodik. Läsaren förutsätts ha en grundläggande förståelse för processer

Läs mer

Granskning av kontroller i investeringsprocessen. Trosa kommun

Granskning av kontroller i investeringsprocessen. Trosa kommun Revisionsrapport Granskning av kontroller i investeringsprocessen Matti Leskelä Februari 2013 Innehållsförteckning 1 Sammanfattande bedömning 1 2 Vårt uppdrag 2 2.1 Bakgrund 2 2.2 Syfte 2 2.3 Metod 2 3

Läs mer